Исследователь раскрывает уязвимость GreatXML, обходящую BitLocker через раздел восстановления
Исследователь безопасности опубликовал GreatXML — метод, позволяющий обойти шифрование Windows BitLocker, используя XML-файлы на разделе восстановления, особенно после сканирования Defender Offline.
Исследователь безопасности, известный под псевдонимом Chaotic Eclipse, опубликовал новый метод, названный GreatXML, который может обходить шифрование Windows BitLocker. Техника использует XML-файлы, размещённые на разделе восстановления, и требует, чтобы система запускала сканирование Windows Defender Offline.
Эксплойт предполагает копирование файла "unattend.xml" и папки восстановления, содержащей "Recovery/WindowsRE/ReAgent.xml", в корень раздела восстановления, после чего перезагрузка в среду восстановления Windows (WinRE) удержанием клавиши Shift при выборе пункта Перезапуск. При правильном выполнении процесс открывает командную оболочку с неограниченным доступом к зашифрованному тому.
"Если вы когда-либо пытались использовать сканирование Windows Defender Offline, вы автоматически уязвимы к обходу BitLocker," — написал исследователь в блоге. "Если сканирование Defender Offline никогда не запускалось, вам нужно либо войти в систему и запустить его самостоятельно, либо найти способ загрузиться в WinRE в состоянии сканирования офлайн и выполнить описанные выше шаги."
GreatXML следует за предыдущими раскрытиями того же исследователя, включая нулевой день в Microsoft Defender, позволяющий локальное повышение привилегий, и ранее известный обход BitLocker под названием YellowKey (CVE-2026-45585), для которого Microsoft выпустила исправления в последних обновлениях Patch Tuesday.